1 / 23

Computer and Information Security

Computer and Information Security. Chapter 6 Web Security. Slides by H. Johnson & S. Malladi- Modified & Translated by Sukchatri P. 2. 1/6/2020. Outline. Web Security Considerations Secure Socket Layer (SSL) and Transport Layer Security (TLS) Secure Electronic Transaction (SET)

walterksmith
Download Presentation

Computer and Information Security

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Computer and Information Security Chapter 6 Web Security Slides by H. Johnson & S. Malladi- Modified & Translated by Sukchatri P.

  2. 2 1/6/2020 Outline • Web Security Considerations • Secure Socket Layer (SSL) and Transport Layer Security (TLS) • Secure Electronic Transaction (SET) • Recommended Reading and WEB Sites

  3. 3 1/6/2020 Web Security Considerations • The WEB is very visible. WEB จะมองเห็นได้มาก • Complex software hide many security flaws. ซอฟแวร์ที่ซับซ้อนซ่อนข้อบกพร่องด้านความปลอดภัยจำนวนมาก • Web servers are easy to configure and manage. เว็บเซิร์ฟเวอร์ง่ายต่อการกำหนดค่าและจัดการ • Users are not aware of the risks. ผู้ใช้บริการไม่ได้ตระหนักถึงความเสี่ยง

  4. 4 1/6/2020 Security facilities in the TCP/IP protocol stackสิ่งอำนวยความสะดวกการรักษาความปลอดภัยในโปรโตคอล TCP / IP stack

  5. 5 Table 17.1 A Comparison of Threats on the Web [RUBI97] 1/6/2020

  6. 6 1/6/2020 SSL and TLS • SSL was originated by Netscape • TLS working group was formed within IETF • First version of TLS can be viewed as an SSLv3.1

  7. 7 1/6/2020 SSL Architecture

  8. 8 1/6/2020 SSL Record Protocol Operation

  9. 9 1/6/2020 SSL Record Format

  10. 10 1/6/2020 SSL Record Protocol Payload

  11. 11 1/6/2020 Handshake Protocol • The most complex part of SSL. ส่วนที่ซับซ้อนที่สุดของ SSL • Allows the server and client to authenticate each other. เซิร์ฟเวอร์และไคลเอนต์ช่วยให้สามารถตรวจสอบซึ่งกันและกัน • Negotiate encryption, MAC algorithm and cryptographic keys. มีการเข้ารหัส, เข้ารหัสให้กับ MAC • Used before any application data are transmitted. มีการใช้ก่อนการถูกส่งข้อมูล

  12. 12 1/6/2020 Handshake Protocol Action

  13. 13 1/6/2020 Transport Layer Security(TLS) • The same record format as the SSL record format. บันทึกรูปแบบเดียวกับรูปแบบการบันทึก SSL • Defined in RFC 2246. • Similar to SSLv3. • Differences in the: • version number • message authentication code • pseudorandom function • alert codes กำหนดรหัสเตือน • cipher suites ชุดของการเข้ารหัสข้อมูล • client certificate types ชนิดของการรับรองลูกข่าย • certificate_verify and finished message รับรองการตรวจสอบและเสร็จสิ้นข้อความ • cryptographic computations การคำนวณการเข้ารหัสลับ • Padding ช่องว่างภายใน

  14. 14 1/6/2020 Secure Electronic Transactions • An open encryption and security specification. การเข้ารหัสลับเปิดและข้อกำหนดการรักษาความปลอดภัย • Protect credit card transaction on the Internet. ป้องกันการทำธุรกรรมบัตรเครดิตบนอินเทอร์เน็ต • Companies involved: • MasterCard, Visa, IBM, Microsoft, Netscape, RSA, Terisa and Verisign • Not a payment system. ไม่ใช่ระบบการชำระเงิน • Set of security protocols and formats.

  15. 15 1/6/2020 SET Services • Provides a secure communication channel in a transaction. จัดเตรียมช่องทางการสื่อสารที่มีความปลอดภัยในการทำธุรกรรม • Provides trust by the use of X.509v3 digital certificates. ให้ความไว้วางใจจากการใช้การรับรองแบบดิจิตอล X.509v3 • Ensures privacy. มั่นใจได้ในความเป็นส่วนตัว

  16. 16 1/6/2020 SET Overview • Key Features of SET: • Confidentiality of information ความลับของข้อมูล • Integrity of data ความสมบูรณ์ของข้อมูล • Cardholder account authentication การตรวจสอบบัญชีผู้ถือบัตร • Merchant authentication การตรวจสอบร้านค้า

  17. 17 1/6/2020 SET Participants

  18. 18 1/6/2020 Sequence of events for transactions • The customer opens an account. • The customer receives a certificate. • Merchants have their own certificates. • The customer places an order. • The merchant is verified. • The order and payment are sent. • The merchant request payment authorization. • The merchant confirm the order. • The merchant provides the goods or service. • The merchant requests payments.

  19. 19 1/6/2020 Dual Signature

  20. 20 1/6/2020 Payment processing Cardholder sends Purchase Request

  21. 21 1/6/2020 Payment processing Merchant Verifies Customer Purchase Request

  22. 22 1/6/2020 Payment processing • Payment Authorization: การอนุมัติการชำระเงิน : • Authorization Request ขออนุญาต • Authorization Response การตอบสนองการอนุญาต • Payment Capture: การชำระเงิน Capture : • Capture Request ขออนุญาต • Capture Response การตอบสนองการอนุญาต

  23. 23 1/6/2020 Recommended Reading and WEB sites • Drew, G. Using SET for Secure Electronic Commerce. Prentice Hall, 1999 • Garfinkel, S., and Spafford, G. Web Security & Commerce. O’Reilly and Associates, 1997 • MasterCard SET site • Visa Electronic Commerce Site • SETCo (documents and glossary of terms)

More Related